Гост tnn Публикувано Април 26, 2009 Report Share Публикувано Април 26, 2009 AntiHook и възможностите на PC Tools Firewall Plus + ThreatFire съпоставими ли са изобщо?Според мен не са. Ако Касперски създава треторазряден софтуер, то Иво Иванов петоразряден ли предлага? Поздрави Цитирай Link to comment Сподели другаде More sharing options...
tanganika Публикувано Април 26, 2009 Report Share Публикувано Април 26, 2009 AntiHook и възможностите на PC Tools Firewall Plus + ThreatFire съпоставими ли са изобщо?Според мен не са. Ако Касперски създава треторазряден софтуер, то Иво Иванов петоразряден ли предлага? ПоздравиЕто на какво ниво е ThreatFire http://membres.lycos.fr/nicmtests/Unhooker...hawk_unhook.htm Ако на такова справяне казваш петоразрядна защита http://membres.lycos.fr/nicmtests/Unhooker...hook_unhook.htmHIPS-а на PC Tools Firewall Plus е твърде либерален в сравнение с този на AntiHook.AntiHook не разрешава прекратяване на процеси от други приложения http://www.plaatjesupload.nl/bekijk/2009/04/26/1240737282-990.jpghttp://www.plaatjesupload.nl/bekijk/2009/04/26/1240737316-030.jpgНе само че AntiHook не може да бъде изключена/спряна,но се грижи това да не се случва и със антивирусните програми,защитните стени и всички други приложения на ОС.Точно стената на KIS има основен и огромен проблем точно с дърпането на шалтера и (много е лесна за спиране/елеминиране от зловреден софтуер) а HIPS-а му е на девето място.За Иво Иванов не разбрах точно какво прави,участва в създаването на AntiHook ли ? Цитирай Link to comment Сподели другаде More sharing options...
Гост tnn Публикувано Април 26, 2009 Report Share Публикувано Април 26, 2009 Да, позна. Би могъл да предложиш на чешките тестващи да проверят AntiHook - не зная дали дори на нивото на Mamutu ще се представи.Показал си снимка на процесите - FType2k.exe защо изобщо е там? AntiHook изглежда пропуска доста подобни неща, а го възхваляваш.Поздрави Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Април 26, 2009 Report Share Публикувано Април 26, 2009 Ето на какво ниво е ThreatFire http://membres.lycos.fr/nicmtests/Unhooker...hawk_unhook.htmТези тестове са доста стари, още от времето, когато програмата се казваше CyberHawk и не беше купена от PC Tools. Това не значи, че в момента ще е със сигурност по-добре или по-зле, а че е възможно да е по-добре или по-зле. Т.е. тестовете са позагубили давността си. AntiHook не разрешава прекратяване на процеси от други приложенияТова го може на практика всяка HIPS програма. Дори ProcessGuard Free, която е може би най-базовата и стара HIPS програма, го може това. Цитирай Link to comment Сподели другаде More sharing options...
tanganika Публикувано Април 26, 2009 Report Share Публикувано Април 26, 2009 Да, позна. Би могъл да предложиш на чешките тестващи да проверят AntiHook - не зная дали дори на нивото на Mamutu ще се представи.Показал си снимка на процесите - FType2k.exe защо изобщо е там? AntiHook изглежда пропуска доста подобни неща, а го възхваляваш.ПоздравиПознах че Иво Иванов участва в създаването на AntiHook ли ?Mamutu дори не се зарежда на ниво kernel,което означава че ще бъде елеминиран много лесно от rootkit.На първо ниво AntiHook има контрол на изпълнимите файлове,а на второ ниво това http://www.plaatjesupload.nl/bekijk/2009/04/26/1240751694-40.jpgТова се случва с всеки един файл от тестовете на matousec http://www.plaatjesupload.nl/bekijk/2009/04/26/1240752735-950.jpgMamutu и касперски с едно две кликвания на мишката и съм им бил шута,а програма която има като опция да бъде изключвана не я вземам на сериозно.Единствения начин AntiHook да бъде преодоляна от вирус е вируса да се стартира преди него,а Австралийците твърдят че AntiHook се стартира най-рано от всички програми за защита които съществуват.Night_RavenТова го може на практика всяка HIPS програма. Дори ProcessGuard Free, която е може би най-базовата и стара HIPS програма, го може това.HIPS-а на нито една от стените не го може.Да,ProcessGuard и AntiHook имат еднакви опции за защита и сега ми остава да открия коя от двете е по-надеждна. Цитирай Link to comment Сподели другаде More sharing options...
Гост tnn Публикувано Април 26, 2009 Report Share Публикувано Април 26, 2009 Ако ProcessGuard и AntiHook си приличат - значи не е невъзможно и не е трудно да бъдат изключени. Затова просто липсват при по-сериозни тестове, а и за 2009-та вече май не са особено актуални. Според мен чешките и последните руски тестове са горе-долу достоверни. ProcessGuard и AntiHook са абсолютно несъпоставими примерно с Qutpost или Comodo - те са разработили пълнофункционални защитни стени с много възможности. Поздрави Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Април 26, 2009 Report Share Публикувано Април 26, 2009 Всъщност сега се усетих, че нещата могат да се погледнат от две страни:1) защита на даден процес от прекратяване;2) позволяване/забрана на даден процес да прекратява други процеси.В първия случай се указва на HIPS програмата да защитава даден процес, след което той не може да бъде прекратен принудително от никой друг. Във втория случай HIPS програмата реагира, когато даден процес иска да прекрати други (например Task Manager да иска да прекрати някой процес), и пита дали да позволи на въпросния процес да прекратява други процеси. Това са два вида защити. Всяка една HIPS програма предлага поне един от въпросните методи. Това имах предвид. Явно Online Armor предлага само първия. Цитирай Link to comment Сподели другаде More sharing options...
tanganika Публикувано Април 26, 2009 Report Share Публикувано Април 26, 2009 Ако ProcessGuard и AntiHook си приличат - значи не е невъзможно и не е трудно да бъдат изключени. Затова просто липсват при по-сериозни тестове, а и за 2009-та вече май не са особено актуални. Според мен чешките и последните руски тестове са горе-долу достоверни. ProcessGuard и AntiHook са абсолютно несъпоставими примерно с Qutpost или Comodo - те са разработили пълнофункционални защитни стени с много възможности. ПоздравиProcessGuard не е защитна стена,но се справя със заплахи с които защитните стени не успяват http://diamondcs.com.au/processguard/attacks.php Това че не участват в тестовете на „matousec” не означава нищо,може да се дължи на десетки причини.От защитните стени единствено Комодо няма опция за изключване/затваряне спасението и при него е деинсталиране.ProcessGuard и AntiHook са от класата на Комодо,като едно от предимствата на първите две е че не позволяват затваряне на процеси от други приложения,което може да е решаващо за опазването на ОС. Night_Raven прав си за Online Armor,но не е по подразбиране трябва да бъде създадено като правило,и аз не съм се сетил за това но при Комодо не се сещам за подобна опция. Цитирай Link to comment Сподели другаде More sharing options...
Гост tnn Публикувано Април 26, 2009 Report Share Публикувано Април 26, 2009 Tanganika, къде е гаранцията, че ProcessGuard и AntiHook няма да пазят и предпазват от затваряне процеси на зловреден код !? Точно това очаквам от подобни малки програмки - да се объркат кое какво беше ... Най-весело е и ползвателя ако не е наясно... Нищо - нека експериментира. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Април 26, 2009 Report Share Публикувано Април 26, 2009 Точно това очаквам от подобни малки програмки - да се объркат кое какво бешеТова не съм сигурен, че го схванах. Може ли пак? Цитирай Link to comment Сподели другаде More sharing options...
tanganika Публикувано Април 26, 2009 Report Share Публикувано Април 26, 2009 Tanganika, къде е гаранцията, че ProcessGuard и AntiHook няма да пазят и предпазват от затваряне процеси на зловреден код !? Точно това очаквам от подобни малки програмки - да се объркат кое какво беше ... Най-весело е и ползвателя ако не е наясно... Нищо - нека експериментира.http://membres.lycos.fr/nicmtests/Unhooker...hook_unhook.htmThis program is protected about such disabling attempt.Тези програмки се държат изключително стабилно и ще бъде изключително трудно да бъдат объркани кое какво беше и да им бъде дръпнат шалтера.Малко по-надолу http://kareldjag.over-blog.com/article-1232530.htmlИво Иванов (той бил един от създателите на AntiHook сега го видях) обяснява че дори рууткита вече да е активен след инсталацията на AntiHook ще бъде елеминиран,защото AntiHook ще се зареди преди него.Защо според твоите критерии е от значение големината на програмата ? Защо мислиш че колкото е по-голяма е и по-надеждна ?Да не каже някой че Българите нямали кадърни програмисти и не могат да създават защитен софтуер от най-висок клас браво на нашето момче никога не съм се съмнявал че имаме такива програмисти. Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Април 26, 2009 Report Share Публикувано Април 26, 2009 Иво Иванов (той бил един от създателите на AntiHook сега го видях) обяснява че дори рууткита вече да е активен след инсталацията на AntiHook ще бъде елеминиран,защото AntiHook ще се зареди преди него.Възможно е да е така, както е възможно да не е. Има доста други HIPS програми, които се зареждат доста рано. А и е напълно възможно някой рууткит да се зарежда още по-рано. Просто ме съмнява AntiHook да е програмата, която се зарежда най-рано и то да няма нито един рууткит, който да се зареди преди нея. LoadOrder е добра програма на SysInternals за извеждане на информация кой драйвер кога се зарежда. Цитирай Link to comment Сподели другаде More sharing options...
Pe6o Публикувано Април 26, 2009 Report Share Публикувано Април 26, 2009 Според мен не е точно HIPS,но е много прост и ефективен метод за защита на системните файлове.Ползвал съм много други защитни програми,но никога не са ме питали когато искам да трия файлове от системния дял за разлика от този блокатор. За повечето програми в официалния сайт е посочено,ако там няма в Google. Доверявам се на тестовете на matousec,защото със сигурност могат да определят кой HIPS какво вижда спрямо доста други конкурентни продукти.Може и да не са включили всички възможни тестове за HIPS програми,но ако някой знае за по-подробен/добър и професионален тест нека даде информация.Здравей tanganika,Елементарен отговор и далеч от истината, затова ще обясня нещата в чисто практически план.За демо ще използувам познатата ни вече "SysProtAntiRootkit". Малко предварителна информация: какво е SSDT /System Service Dispatch Table/http://img294.imageshack.us/img294/9428/syaprot12.jpgСега отваряме таба SSDT. В дясната част на прозореца се виждат намиращите се в ОС т.н.SSDT Hooks програми, а в лявата компонентите /параметри/ на SSDT, който контролират принудително. За по голяма яснота със зелен цвят съм маркирал "System Safety Monitor"/safemon.sys/, с жълт Online Armor/OADriver.sys/ и с червен Avast AV/aswSP.sys/. Или на този компютър има инсталирани три програми използуващи технологията HIPS. По същество това са Hooks програми, но от "добрите", лошите са познати под името "Rootkit's. От пръв поглед се вижда подавляващото присъствие на зеления цвят което показва,а и в практиката се е наложило, че SSM e eдна от най добрите самостоятелни HIPS програми./Трябва да се има впредвид, че програмата комуникира с отдалечени сървари с техниката "Ghostlog" комуникация, която не се засича от HIPS, но се контролира от Behavior blocker/ Online Armor се представя добре но има един нюанс :означението \??\C:ХХХХХХ показва,че компонента се контролира от повече от един драйвър. За Avast AV: малко, но много качествено. Сполучлив ход на разработчиците: контролира компоненти недостъпни за другите. И нещо свързано със сигурността: ако между редовете забележим непознат драйвър трябва внимателно да се провери. При липса на информация е много вероятно, а ако е и в "Hidden for API" формат 100% - Rootkit.Леките тeстове са добри, но преди всичко са маркетингови продукти на отделните компаний в който предварително е заложена уловка. Нещо от рода на: "да вкараме вълка в кошарата, пък после ще мислим как да спасяваме стадото". http://img294.imageshack.us/img294/6361/syaprot1a.jpghttp://img294.imageshack.us/img294/8218/syaprot5a.jpghttp://img294.imageshack.us/img294/6384/sysprot.gif http://img147.imageshack.us/img147/9682/1aaj.gif http://img147.imageshack.us/img147/5963/nm1aa.gif Цитирай Link to comment Сподели другаде More sharing options...
Гост tnn Публикувано Април 26, 2009 Report Share Публикувано Април 26, 2009 Това не съм сигурен, че го схванах. Може ли пак?FType2k.exe си функционира като процес при Tanganika и ако той отново инсталира Ikarus, това бързо ще се промени. В конкретния случай австриецът е точен - един ненужен или зловреден процес по-малко - това бе мисълта ми. Обаче Tanganika явно е склонен да го приема за фалшива тревога - при това положение процесът си остава и дори е допълнително "защитен" от подобни малки уж спомагателни програмки...Не зная той дали се замисля още какво може да се предвиди от този процес - аз бих го отстранил незабавно. Обаче не зная дали е лесен за отстраняване и дали съфорумецът ни знае как да го направи.По-скоро не бих го допуснал. Поздрави Цитирай Link to comment Сподели другаде More sharing options...
Night_Raven Публикувано Април 26, 2009 Report Share Публикувано Април 26, 2009 В случая с FlexType Ikarus наистина би направил грешка и определянето на програмата като заплаха би било наистина фалшива тревога. Аз мразя FlexType, защото е излишна, нахална, бъгава, проблемна и платена програма, но колкото и да е боклучава, не спада в категорията на зловреден код (вируси, червеи, троянци и т.н.), което значи, че е извън юрисдикцията на всяка антивирусна програма. Цитирай Link to comment Сподели другаде More sharing options...
Препоръчан пост
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.